cisco secure access control system ユーザガイド 5目次 4 cisco secure access control system...

Cisco Secure Access Control System 5.8 ユーザガイド最終更新日：2017 年 4 月 5 日

Cisco Systems, Inc.www.cisco.com

シスコは世界各国 200 箇所にオフィスを開設しています。各オフィスの住所、電話番号、FAX 番号は当社の Web サイトをご覧ください。 www.cisco.com/go/offices

http://www.cisco.comhttp://www.cisco.com/go/offices

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用は、すべてユーザ側の責任になります。

対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。

The Cisco implementation of TCP header compression is an adaptation of a program developed by theUniversity of California, Berkeley (UCB) as part of UCB’s public domain version of the UNIX operatingsystem. All rights reserved. Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコおよびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。

いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものとします。Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)

このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2016 Cisco Systems, Inc. All rights reserved.

http://www.cisco.com/go/trademarks

C O N T E N T S

はじめに xxi

対象読者 xxi

表記法 xxi

マニュアルの最新情報 xxii

関連資料 xxii

ドキュメンテーションの正誤表 xxiii

マニュアルの入手方法およびテクニカルサポート xxiii

C H A P T E R 1 ACS 5.8 の導入 1-1

ACS の概要 1-1

ACS の分散展開 1-2ACS 4.x と 5.8 の複製 1-3

ACS のライセンスモデル 1-3

ACS 管理インターフェイス 1-4ACS Web ベースインターフェイス 1-4ACS コマンドラインインターフェイス 1-5ACS プログラムインターフェイス 1-5

ACS でサポートされているハードウェアモデル 1-6

C H A P T E R 2 ACS 4.x から ACS 5.8 への移行 2-1

移行プロセスの概要 2-1

移行の要件 2-2

移行サポートバージョン 2-2

はじめる前に 2-3

移行ファイルのダウンロード 2-3

ACS 4.x から ACS 5.8 への移行 2-3

ACS 4.x から ACS 5.8 への機能マッピング 2-5

移行の一般的なシナリオ 2-7

CSACS 1121 の ACS 4.2 から ACS 5.8 への移行 2-8ACS 3.x から ACS 5.8 への移行 2-8他の AAA サーバから ACS 5.8 へのデータの移行 2-9

1Cisco Secure Access Control System 5.8 ユーザガイド

目次

C H A P T E R 3 ACS 5.x ポリシーモデル 3-1

ACS 5.x ポリシーモデルの概要 3-1ポリシーの用語 3-3

単純なポリシー 3-4

ルールベースポリシー 3-4ポリシーのタイプ 3-5

アクセスサービス 3-5ID ポリシー 3-9グループマッピングポリシー 3-10デバイス管理用の認可ポリシー 3-11

サービスセレクションポリシー 3-12

単純なサービスセレクション 3-12

ルールベースのサービスセレクション 3-13アクセスサービスおよびサービスセレクションのシナリオ 3-13最初の一致規則テーブル 3-14

ネットワークアクセスの認可プロファイル 3-17複数の認可プロファイルを含む規則の処理 3-17

ポリシーおよび ID 属性 3-17

ポリシーおよびネットワークデバイスグループ 3-18

ルールベースポリシーの例 3-18

サービスおよびポリシーの設定フロー 3-19

C H A P T E R 4 ACS を使用した一般的なシナリオ 4-1

デバイス管理の概要 4-2

セッション管理 4-3

コマンド認可 4-4

TACACS+ のカスタムサービスおよび属性 4-5

パスワードベースのネットワークアクセス 4-5パスワードベースのネットワークアクセスの概要 4-5パスワードベースのネットワークアクセスの設定フロー 4-7

証明書ベースのネットワークアクセス 4-9証明書ベースのネットワークアクセスの概要 4-9ACS で証明書を使用する方法 4-10

エージェントレスネットワークアクセス 4-13エージェントレスネットワークアクセスの概要 4-13ホストルックアップ 4-14コールチェックを使用する認証 4-15PAP/EAP-MD5 認証 4-16


目次

エージェントレスネットワークアクセスのフロー 4-16内部 ID ストアへのホストの追加 4-18ホストルックアップ用の LDAP 外部 ID ストアの設定 4-18ホストルックアップネットワークアクセス要求用の ID グループの設定 4-19ホストルックアップ用のアクセスサービスの作成 4-19

VPN リモートネットワークアクセス 4-21サポートされる認証プロトコル 4-21

サポートされる ID ストア 4-22サポートされる VPN ネットワークアクセスサーバ 4-22サポートされる VPN クライアント 4-23VPN リモートアクセスサービスの設定 4-23

ACS とシスコセキュリティグループアクセス 4-24Security Group Access 用デバイスの追加 4-25セキュリティグループの作成 4-25SGACL の作成 4-26NDAC ポリシーの設定 4-26Security Group Access 用の EAP-FAST 設定の構成 4-27Security Group Access アクセス用のアクセスサービスの作成 4-27エンドポイントアドミッションコントロールポリシーの作成 4-27出力ポリシーの作成 4-28

デフォルトポリシーの作成 4-29

RADIUS および TACACS+ プロキシ要求 4-29RADIUS 属性の書き換え動作 4-31サポートされているプロトコル 4-35

サポートされる RADIUS 属性 4-36TACACS+ の本文の暗号化 4-36TACACS+ サーバへの接続 4-36プロキシサービスの設定 4-37

FIPS 140-2 レベル 1 の実装 4-37FIPS モードがイネーブルになっているときの Cisco NAC Agent の要件 4-39

ネットワークインターフェイスの IPv6 の有効化と無効化 4-40

C H A P T E R 5 [My Workspace] の概要 5-1

[Welcome] ページ 5-1

タスクガイド 5-2

[My Account] ページ 5-2

ログインバナー 5-3

Web インターフェイスの使用方法 5-4Web インターフェイスへのアクセス 5-4


目次

Web インターフェイスについて 5-6

Web インターフェイスを使用した ACS オブジェクトのインポートおよびエクスポート 5-19

サポートされる ACS オブジェクト 5-19インポートファイルの作成 5-22

一般的なエラー 5-25

同時実行競合エラー 5-26

削除エラー 5-27

システム障害エラー 5-27

アクセシビリティ 5-28

表示および可読性機能 5-28

キーボードとマウスの機能 5-28

その他のアクセシビリティ情報の入手 5-29

C H A P T E R 6 インストール後の設定タスク 6-1

最小システムセットアップの設定 6-1

ACS によるシステム管理タスクの実行の設定 6-2

ACS によるアクセスポリシーの管理の設定 6-3

ACS によるネットワークの問題の監視およびトラブルシューティングの設定 6-4

C H A P T E R 7 ネットワークリソースの管理 7-1

ネットワークデバイスグループ 7-2ネットワークデバイスグループの作成、複製、および編集 7-2ネットワークデバイスグループの削除 7-3階層内でのネットワークデバイスグループの作成、複製、および編集 7-4階層からのネットワークデバイスグループの削除 7-5

ネットワークデバイスおよび AAA クライアント 7-5ネットワークデバイスの一括操作の表示および実行 7-6ネットワークデバイスおよび AAA クライアントのエクスポート 7-8ネットワークリソースおよびユーザに関する一括操作の実行 7-8ネットワークリソースおよびユーザのエクスポート 7-10ネットワークデバイスの作成、複製、および編集 7-11ネットワークデバイスプロパティの表示 7-15ネットワークデバイスの削除 7-18IP サブネットおよび IP 範囲の一部である静的 IP アドレスの使用 7-19

デフォルトのネットワークデバイスの設定 7-19

外部プロキシサーバの使用 7-21外部プロキシサーバの作成、複製、および編集 7-21外部プロキシサーバの削除 7-23


目次

OCSP サービスの使用 7-23OCSP サーバの作成、複製、および編集 7-25OCSP サーバの削除 7-26

C H A P T E R 8 ユーザおよび ID ストアの管理 8-1

概要 8-1

内部 ID ストア 8-1外部 ID ストア 8-3ID グループ 8-3証明書ベースの認証 8-4

ID 順序 8-4

内部 ID ストアの管理 8-5認証情報 8-5

ID グループ 8-6ID 属性の管理 8-8ユーザの認証の設定 8-10

非アクティブで N 日経過したユーザの無効化 8-13内部ユーザの作成 8-14

内部 ID ストアからのユーザの削除 8-18内部ユーザに対するパスワードハッシュの有効化および無効化 8-18ユーザおよび管理者へのパスワード期限切れ通知電子メールの設定 8-20

内部 ID ストアユーザの一括操作の表示および実行 8-21ホストの認証の設定 8-22

ID ストアでのホストの作成 8-24内部ホストの削除 8-26

内部 ID ストアホストの一括操作の表示および実行 8-26管理階層 8-27

外部 ID ストアの管理 8-30LDAP の概要 8-30外部 MAB データベースとしての Cisco NAC Profiler の利用 8-46Microsoft AD 8-52

RSA SecurID サーバ 8-81RADIUS ID ストア 8-88

CA 証明書の設定 8-97認証局の追加 8-97

認証局の編集および証明書失効リストの設定 8-98

認証局の削除 8-100

証明書チェーンの一部である CA 証明書の更新または削除 8-101認証局のエクスポート 8-102


目次

証明書認証プロファイルの設定 8-102

ID ストア順序の設定 8-104ID ストア順序の作成、複製、および編集 8-105ID ストア順序の削除 8-107

C H A P T E R 9 ポリシー要素の管理 9-1

ポリシー条件の管理 9-1

日付と時刻の条件の作成、複製、および編集 9-3

カスタムセッション条件の作成、複製、および編集 9-5セッション条件の削除 9-6

認可および権限の管理 9-18

ネットワークアクセス用の認可プロファイルの作成、複製、および編集 9-19セキュリティグループの作成および編集 9-24デバイス管理用のシェルプロファイルの作成、複製、および編集 9-25管理デバイス用のコマンドセットの作成、複製、および編集 9-30ダウンロード可能な ACL の作成、複製、および編集 9-32認可および権限のポリシー要素の削除 9-34

セキュリティグループアクセスコントロールリストの設定 9-34

C H A P T E R 10 アクセスポリシーの管理 10-1

ポリシー作成フロー 10-1

ネットワークの定義とポリシーの目的 10-2

ポリシー作成フローのポリシー要素 10-3

アクセスサービスポリシーの作成 10-4サービスセレクションポリシーの作成 10-4

ポリシーのカスタマイズ 10-4

サービスセレクションポリシーの設定 10-5単純なサービスセレクションポリシーの設定 10-6[Service Selection Policy] ページ 10-6サービスセレクション規則の作成、複製、および編集 10-8Hit カウントの表示 10-10サービスセレクション規則の削除 10-10

アクセスサービスの設定 10-11デフォルトのアクセスサービスの編集 10-11アクセスサービスの作成、複製、および編集 10-12アクセスサービスの削除 10-22

アクセスサービスポリシーの設定 10-23ID ポリシーの表示 10-23ID ポリシー規則のプロパティ設定 10-26


目次

グループマッピングポリシーの設定 10-28

グループマッピングポリシー規則のプロパティの設定 10-30ネットワークアクセスのセッション認可ポリシーの設定 10-31ネットワークアクセス認可規則のプロパティの設定 10-33デバイス管理認可ポリシーの設定 10-34デバイス管理認可規則のプロパティの設定 10-35デバイス管理認可例外ポリシーの設定 10-35デバイス管理のシェル / コマンド認可ポリシーの設定 10-36認可例外ポリシーの設定 10-37

ポリシー規則の作成 10-38

規則の複製 10-40

ポリシー規則の編集 10-40

ポリシー規則の削除 10-41

複合条件の設定 10-41

複合条件の構築ブロック 10-42

複合条件のタイプ 10-43

複合式ビルダーの使用方法 10-46

[Security Group Access Control] ページ 10-47[Egress Policy Matrix] ページ 10-47出力ポリシーマトリクスのセルの編集 10-48出力ポリシーのデフォルトポリシーを定義ページ 10-48NDAC ポリシーページ 10-49[NDAC Policy Properties] ページ 10-51[Network Device Access EAP-FAST Settings] ページ 10-52

最大ユーザセッション数 10-52最大セッションユーザの設定 10-53

最大セッショングループ設定 10-54最大セッションのグローバル設定 10-55

ユーザセッションの削除 10-56分散環境の最大ユーザセッション 10-57プロキシシナリオの最大ユーザセッション 10-57

ログイン試行失敗の最大回数のポリシー 10-58

ユーザのログイン試行失敗の最大回数を設定する 10-59

ID グループのログイン試行失敗の最大回数を設定する 10-59グローバルにユーザのログイン試行失敗の最大回数を設定する 10-60

C H A P T E R 11 ACS での監視とレポート 11-1

認証レコードと詳細 11-2

ダッシュボードページ 11-3


目次

ポートレットの操作 11-4

[Authentication Lookup] ポートレットの操作 11-5

ダッシュボード内のタブの設定 11-6

ダッシュボードへのタブの追加 11-6

ダッシュボード内のタブの名前変更 11-7

ダッシュボードのレイアウトの変更 11-8

ダッシュボードからのタブの削除 11-8

C H A P T E R 12 アラームの管理 12-1

アラームについて 12-1

アラームしきい値の評価 12-2

ユーザへのイベントの通知 12-3

受信箱でのアラームの表示および編集 12-3

アラームスケジュールについて 12-9アラームスケジュールの作成と編集 12-9しきい値へのアラームスケジュールの割り当て 12-10アラームスケジュールの削除 12-11

アラームしきい値の作成、編集、および複製 12-11

一般的なしきい値情報の設定 12-16

しきい値基準の設定 12-17

しきい値通知の設定 12-35

アラームしきい値の削除 12-36

システムアラームの設定 12-36

アラーム syslog ターゲットについて 12-37アラーム syslog ターゲットの作成と編集 12-38アラーム Syslog ターゲットの削除 12-39

C H A P T E R 13 レポートの管理 13-1

ACS レポート 13-2

レポートの実行 13-3

レポートのナビゲーション 13-4

レポート表の列の表示 / 非表示 13-5レポート表の列の固定 13-6

レポート表のデータのソート 13-7

レポート表のデータのフィルタリング 13-7

レポートのエクスポート 13-8

レポートの保存とスケジュール設定 13-9

Saved Reports 13-9


目次

Scheduled Reports 13-11

お気に入りレポート 13-14

お気に入りレポートの追加 13-15

お気に入りからのレポートの削除 13-15

使用可能なレポート 13-16

使用可能なフィルタ 13-21

RADIUS Active Sessions の認証の動的な変更 13-23デバイスでの RADIUS CoA オプションの有効化 13-24認可の変更、およびアクティブな RADIUS セッションの接続解除 13-25

グラフについて 13-26

C H A P T E R 14 Monitoring and Report Viewer を使用した ACS のトラブルシューティング 14-1

利用可能な診断ツールおよびトラブルシューティングツール 14-1接続テスト 14-1

ACS サポートバンドル 14-1Expert Troubleshooter 14-2

接続テストの実行 14-3

診断情報向け ACS サポートバンドルのダウンロード 14-4

Expert Troubleshooter での作業 14-6RADIUS 認証のトラブルシューティング 14-6ネットワークデバイス上での show コマンドの実行 14-10ネットワークデバイスの設定の評価 14-11ネットワークデバイスと ACS との間での SGACL ポリシーの比較 14-12デバイスとそのピアとの間での SXP-IP マッピングの比較 14-13デバイスの IP-SGT ペアと ACS によって割り当てられた SGT レコードとの比較 14-15

デバイス SGT と ACS によって割り当てられたデバイス SGT との比較 14-16

C H A P T E R 15 Monitoring and Report Viewer でのシステムの動作と設定の管理 15-1

データ消去と増分バックアップの設定 15-3

NFS ステージングの設定 15-7

バックアップからのデータの復元 15-8

ログ収集の表示 15-9

[Log Collection Details] ページ 15-11

ログメッセージのリカバリ 15-12

スケジュール設定されたジョブの表示 15-13

プロセスステータスの表示 15-14

データアップグレードステータスの表示 15-15


目次

障害理由の表示 15-16

障害理由の編集 15-16

電子メール設定の指定 15-17

SNMP トラップ 15-17ACS からトラップを受信するよう SNMP サーバを設定する 15-18ディスク使用率をモニタする SNMP トラップ 15-19

SNMP の環境設定 15-20

収集フィルタの把握 15-21

収集フィルタの作成と編集 15-21

収集フィルタの削除 15-22

システムアラーム設定の指定 15-22

アラーム syslog ターゲットの設定 15-22

リモートデータベースの設定 15-22Oracle データベースのポート番号の変更 15-24

C H A P T E R 16 システム管理者の管理 16-1

管理者ロールおよびアカウントについて 16-2

認証について 16-3

システム管理者およびアカウントの設定 16-3

ロールについて 16-3

権限 16-4

事前定義済のロール 16-5

ロールの関連付けの変更 16-7

管理者アカウントとロールの関連付け 16-7

管理者アカウントの作成、複製、編集、および削除 16-8

管理者アカウントのエクスポート 16-11

内部管理者のパスワードハッシングの有効化および無効化 16-12

事前定義済みのロールの表示 16-14

ロールプロパティの表示 16-14

管理者の認証設定 16-15

セッションアイドルタイムアウトの設定 16-17

管理者のアクセス設定 16-18

管理アクセスコントロールの使用 16-19管理者 ID ポリシー 16-20ID ポリシー規則のプロパティ設定 16-23

RADIUS ID および RSA SecurID サーバに対する管理者の認証 16-24RADIUS ID サーバに対する管理者の認証 16-24RSA SecurID サーバに対する管理者の認証 16-25


目次

管理者認可ポリシー 16-27

管理者認可ポリシーの設定 16-27

管理者認可規則のプロパティの設定 16-28

管理者のログインプロセス 16-29

管理者パスワードのリセット 16-30

管理者パスワードの変更 16-30

自分の管理者パスワードの変更 16-30

別の管理者のパスワードのリセット 16-31

C H A P T E R 17 システムの動作の設定 17-1

分散展開について 17-2

セカンダリサーバのアクティベーション 17-4セカンダリサーバの削除 17-4セカンダリサーバの昇格 17-4ローカルモードについて 17-5完全な複製について 17-5

ハードウェアの置き換えの指定 17-6

スケジューリングバックアップ 17-6スケジューリングバックアップの作成、複製、および編集 17-7

プライマリインスタンスとセカンダリインスタンスのバックアップ 17-8

バックアップ / 復元後のプライマリインスタンスとセカンダリインスタンスの同期 17-10

インスタンスの編集 17-11

プライマリインスタンスの表示および編集 17-11セカンダリインスタンスの表示および編集 17-15セカンダリインスタンスの削除 17-16

セカンダリインスタンスのアクティベーション 17-16

プライマリインスタンスへのセカンダリインスタンスの登録 17-17

[Distributed System Management] ページでのセカンダリインスタンスの登録解除 17-19

[Deployment Operations] ページでのセカンダリインスタンスの登録解除 17-20

[Distributed System Management] ページでのセカンダリインスタンスの昇格 17-21

[Deployment Operations] ページでのセカンダリインスタンスの昇格 17-21

プライマリインスタンスからのセカンダリインスタンスの複製 17-22[Distributed System Management] ページでのセカンダリインスタンスの複製 17-22[Deployment Operations] ページでのセカンダリインスタンスの複製 17-23プライマリサーバからのプライマリインスタンスの IP アドレスの変更 17-24フェールオーバー 17-24

[Deployment Operations] ページでのローカルモードインスタンスの作成 17-25


目次

ソフトウェアリポジトリの作成、複製、編集、および削除 17-26Web インターフェイスおよび CLI でのソフトウェアリポジトリの管理 17-28SFTP リポジトリに対する認証用の RSA 公開キーの設定 17-28

ACS Web インターフェースからのポリシーのエクスポート 17-31

分散展開での信頼通信 17-33

分散展開での信頼通信の設定 17-34

C H A P T E R 18 システム管理設定の管理 18-1

グローバルシステムオプションの設定 18-1TACACS+ の設定 18-2EAP-TLS の設定 18-2PEAP の設定 18-3セキュリティの設定 18-4

CRL 要求の HTTP プロキシの設定 18-4EAP-FAST の設定 18-5EAP-FAST PAC の生成 18-5

RSA SecurID プロンプトの設定 18-6ディクショナリの管理 18-7

RADIUS 属性と TACACS+ 属性の表示 18-7RADIUS ベンダー固有属性の作成、複製、および編集 18-8RADIUS ベンダー固有サブ属性の作成、複製、および編集 18-11RADIUS ベンダー固有サブ属性の表示 18-12ID ディクショナリの設定 18-13内部ユーザ ID 属性の作成、複製、および編集 18-13内部 ID 属性の設定 18-14内部ユーザ ID 属性の削除 18-15内部ホスト ID 属性の作成、複製、および編集 18-16内部ホスト ID 属性の削除 18-16[Internal Identity Store] でのユーザへのスタティック IP アドレスの追加 18-17

ローカルサーバ証明書の設定 18-17

ローカルサーバ証明書の追加 18-18サーバ証明書のインポートおよびプロトコルとの関連付け 18-19

自己署名証明書の生成 18-19

証明書署名要求の生成 18-20

CA 署名付き証明書のバインド 18-21証明書の編集と更新 18-22

証明書の削除 18-23

証明書のエクスポート 18-23

未処理の署名要求の表示 18-24


目次

ローカルおよびリモートのログストレージの設定 18-24リモートログターゲットの設定 18-25リモートログターゲットの削除 18-28ローカルログの設定 18-28ローカルログデータの削除 18-29ロギングカテゴリの設定 18-29ロギングカテゴリの表示 18-37ログコレクタの設定 18-37ログメッセージカタログの表示 18-38ログメッセージカタログからのメッセージのエクスポート 18-38

ライセンスの概要 18-39

ライセンスの種類 18-39

ライセンスファイルのインストール 18-40基本サーバライセンスの表示およびアップグレード 18-41

ライセンス機能オプションの表示 18-42

展開ライセンスファイルの追加 18-43

展開ライセンスファイルの削除 18-45

使用可能なダウンロード 18-45

移行ユーティリティファイルのダウンロード 18-45UCP Web サービスファイルのダウンロード 18-46サンプル Python スクリプトのダウンロード 18-46Rest サービスのダウンロード 18-47

A P P E N D I X A ロギングについて A-1

ロギングについて A-1

ログターゲットの使用方法 A-2ロギングカテゴリ A-2グローバルおよびインスタンスごとのロギングカテゴリ A-4ログメッセージの重大度レベル A-4ローカルストアターゲット A-5リモート Syslog サーバターゲット A-8レポートサーバターゲットの監視 A-9ログメッセージの表示 A-10デバッグログ A-11

ACS 4.x と ACS 5.8 のロギング A-11

A P P E N D I X B AAA プロトコル B-1

一般的な使用例 B-1

デバイス管理（TACACS+） B-1


目次

ネットワークアクセス（EAP 使用および未使用の RADIUS） B-2

アクセスプロトコル：TACACS+ および RADIUS B-5

TACACS+ の概要 B-5

RADIUS の概要 B-6RADIUS IETF B-6RADIUS VSA B-6

AAA サーバとしての ACS 5.8 B-7ACS 5.8 での RADIUS 属性サポート B-8RADIUS アクセス要求 B-10

A P P E N D I X C ACS 5.8 での認証 C-1

認証方式の検討 C-1

認証とユーザデータベース C-1PAP C-2

RADIUS PAP 認証 C-3

EAP C-3

EAP-MD5 C-5

EAP-MD5 の概要 C-5ACS 5.8 での EAP-MD 5 フロー C-5

EAP-TLS C-6

EAP-TLS の概要 C-6PKI クレデンシャル C-8ローカル証明書の取得 C-9

クレデンシャルのエクスポート C-12

クレデンシャルの配布 C-12

暗号機密資料のセキュリティ保護 C-13

ACS 5.8 での EAP-TLS フロー C-13

PEAPv0/1 C-15

PEAP の概要 C-15ACS 5.8 での PEAP フロー C-18

EAP-FAST C-20

EAP-FAST の概要 C-20ACS 5.8 での EAP-FAST C-22ACS 5.8 での EAP-FAST フロー C-28EAP-FAST PAC 管理 C-29

RADIUS キーラップありの EAP 認証 C-31EAP-MSCHAPv2 C-31

EAP-MSCHAPv2 の概要 C-32


目次

ACS 5.8 での EAP-MSCHAPv2 フロー C-33

CHAP C-33

LEAP C-33

証明書属性 C-33

証明書のバイナリ比較 C-34

証明書の失効 C-35

マシン認証 C-36

認証プロトコルと ID ストアの互換性 C-37

A P P E N D I X D オープンソース使用許諾書 D-1

注意事項 D-1

OpenSSL/Open SSL Project D-1


はじめに

改訂日：2017 年 4 月 5 日

このマニュアルでは、Cisco Secure Access Control System（ACS）5.8 の使用方法について説明します。

対象読者このマニュアルは、ACS を使用したり、ネットワークやアプリケーションのセキュリティをセットアップおよび管理するセキュリティ管理者を対象としています。

表記法このマニュアルで使用する表記法では、^ 記号は Ctrl キーを表します。たとえば、^z というキーの組み合わせは、Ctrl キーを押しながら z キーを押すことを意味します。

コマンドの説明では、次の表記法を使用しています。

• システムプロンプトが含まれる例はインタラクティブなセッションを示し、プロンプトでコマンドを入力する必要があります。システムプロンプトは、現在の EXEC コマンドインタープリタのレベルを示しています。たとえば、プロンプト Router> はユーザレベル、プロンプト Router# は特権レベルであることを表しています。通常、特権レベルにアクセスするにはパスワードが必要です。

• コマンドおよびキーワードは、太字で示しています。

• ユーザが値を指定する引数は、イタリック体で示しています。

• 角カッコ（[ ]）の中の要素は、省略可能です。

• 必ずいずれか 1 つを選択しなければならないキーワードは、波カッコ（{}）で囲み、縦棒（|）で区切って示しています。

例では、次の表記法を使用しています。

• 端末セッションおよびコンソール画面例は、screen フォントで示しています。

• ユーザが入力する情報は、太字の screen フォントで示しています。

• パスワードのように出力されない文字は、山カッコ（< >）で囲んで示しています。

• システムプロンプトに対するデフォルトの応答は、角カッコ（[]）で囲んで示しています。

• 行の先頭に感嘆符（!）がある場合には、コメント行であることを示します。

xxiCisco Secure Access Control System 5.8 ユーザガイド

注意要注意という意味です。機器の損傷またはデータ損失を予防するための注意事項が記載されています。

（注）「時間の節約に役立つ操作」です。ここに紹介している方法で作業を行うと、時間を短縮できます。

（注）「注釈」です。次に進む前に検討する必要がある重要情報、役に立つ情報、このマニュアル以外の参照資料などを紹介しています。

マニュアルの最新情報表 1 に、『Cisco Secure Access Control System 5.8 ユーザガイド』の更新内容を示します。

表 1 『Cisco Secure Access Control System 5.8 ユーザガイド』の更新内容

関連資料表 2 に、Cisco.com で参照できる関連技術マニュアルセットを示します。Cisco.com ですべての製品のエンドユーザ向けマニュアルを検索するには、次の URL に移動してください。http://www.cisco.com/go/techdocs

[Products] > [Security] > [Access Control and Policy] > [Policy and Access Management] > [Cisco Secure Access Control System] を選択します。

（注）初版発行後、印刷物または電子マニュアルのアップデートを行う場合があります。マニュアルのアップデートについては、 http://www.cisco.com で確認してください。

日付説明

2015 年 9 月 29 日 Cisco Secure Access Control System、リリース 5.8。

表 2 製品マニュアル

マニュアルタイトル利用形式

『Cisco Secure Access Control System In-Box Documentation and China RoHS Pointer Card』

http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-documentation-roadmaps-list.html

『Migration Guide for Cisco Secure Access Control System 5.8』

http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-installation-guides-list.html

『CLI Reference Guide for Cisco Secure Access Control System 5.8』

http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-command-reference-list.html

xxiiCisco Secure Access Control System 5.8 ユーザガイド

http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-documentation-roadmaps-list.htmlhttp://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-installation-guides-list.htmlhttp://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-command-reference-list.htmlhttp://www.cisco.com/go/techdocshttp://www.cisco.com/go/techdocs

ドキュメンテーションの正誤表Cisco Secure ACS 5.8 のオンラインヘルプでは、ハイパーリンクで表示されるテーブル数が際のテーブル数とは一致しません。ただし、ハイパーリンクは、正しいテーブルを指しています。

マニュアルの入手方法およびテクニカルサポートマニュアルの入手方法、テクニカルサポート、その他の有用な情報について、次の URL で、毎月更新される『What’s New in Cisco Product Documentation』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

『What’s New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダーアプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。

『Supported and Interoperable Devices and Software for Cisco Secure Access Control System 5.8』

http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-device-support-tables-list.html

Installation and Upgrade Guide for Cisco Secure Access Control System 5.8

http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-installation-guides-list.html

『Release Notes for Cisco Secure Access Control System 5.8』

http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-release-notes-list.html

Software Developer’s Guide for Cisco Secure Access Control System 5.8

http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-programming-reference-guides-list.html

『Regulatory Compliance and Safety Information for Cisco Secure Access Control System』

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-6/regulatory/compliance/csacsrcsi.html

表 2 製品マニュアル（続き）

マニュアルタイトル利用形式

xxiiiCisco Secure Access Control System 5.8 ユーザガイド

http://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-device-support-tables-list.htmlhttp://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-installation-guides-list.htmlhttp://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-release-notes-list.htmlhttp://www.cisco.com/en/US/products/ps9911/prod_release_notes_list.htmlhttp://www.cisco.com/c/en/us/support/security/secure-access-control-system/products-programming-reference-guides-list.htmlhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-4/regulatory/compliance/csacsrcsi.htmlhttp://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

xxivCisco Secure Access Control System 5.8 ユーザガイド

Cisco

C H A P T E R 1

ACS 5.8 の導入

ここでは、次の内容について説明します。

• ACS の概要（1-1 ページ）

• ACS の分散展開（1-2 ページ）

• ACS 管理インターフェイス（1-4 ページ）

ACS の概要ACS は、規格準拠の認証、許可、アカウンティング（AAA）サービスをネットワークに提供するポリシーベースのセキュリティサーバです。ACS を使用すると、シスコおよびシスコ以外のデバイスとアプリケーションを簡単に管理できます。

有力な企業ネットワークアクセスコントロールプラットフォームである ACS は、ネットワークアクセスコントロールと ID 管理の統合ポイントとして機能します。

ACS 5.x では、動的な条件と属性に基づいてネットワークアクセスを制御できる、ルールベースのポリシーモデルを提供します。ルールベースのポリシーは、複雑なアクセスポリシーニーズを満たす設計になっています。ACS のルールベースのポリシーモデルの詳細については、ACS 5.x ポリシーモデル（3-1 ページ）を参照してください。

2 つの主要な AAA プロトコルである RADIUS と TACACS+ のより強力なコンテキストにおいて、ACS では次の基本的な機能領域を提供します。

• RADIUS プロトコルのフレームワークにおいては、ACS ではネットワークへの有線および無線アクセスをユーザおよびホストマシンごとに制御し、使用されるネットワークリソースのアカウンティングを管理します。

ACS では、PAP、CHAP、MSCHAPv1、MSCHAPv2 などの複数の RADIUS ベースの認証方式がサポートされています。さらに、EAP-MD5、LEAP、PEAP、EAP-FAST、EAP-TLS など、EAP プロトコルファミリの多くのメンバーもサポートされています。

また、ACS では、PEAP または EAP-FAST と連携する場合、EAP-MSCHAPv2、EAP-GTC、および EAP-TLS もサポートされます。認証方式の詳細については、「Authentication in ACS 5.8」を参照してください。

• TACACS+ プロトコルのフレームワークにおいては、ACS を使用すると、スイッチ、無線アクセスポイント、ルータ、ゲートウェイなどのシスコおよびシスコ以外のネットワークデバイスを簡単に管理できます。また、ダイヤルアップ、バーチャルプライベートネットワーク（VPN）、ファイアウォールなどのサービスやエンティティの管理にも役立ちます。

1-1 Secure Access Control System 5.8 ユーザガイド

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/user/guide/acsuserguide/eap_pap_phase.htmlhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/user/guide/acsuserguide/eap_pap_phase.html

第 1 章 ACS 5.8 の導入 ACS の分散展開

ACS は、ネットワークに接続しようとするユーザとデバイスを識別する、ネットワーク内のポイントとなります。この ID 設定は、ローカルユーザ認証用の ACS 内部 ID リポジトリを使用して直接実行される場合、および、外部 ID リポジトリを使用して実行される場合があります。

たとえば、ACS では、Active Directory を外部 ID リポジトリとして使用してユーザを認証し、ネットワークへのユーザアクセス権を付与できます。ID の作成およびサポートされる ID サービスの詳細については、ユーザおよび ID ストアの管理（8-1 ページ）を参照してください。

ACS には、ACS の展開の管理に役立つ高度な監視ツール、レポートツール、およびトラブルシューティングツールが備えられています。ACS の監視機能、レポート機能、およびトラブルシューティング機能の詳細については、ACS での監視とレポート（11-1 ページ）を参照してください。

ACS を使用したデバイス管理およびネットワークアクセスシナリオの詳細については、ACS を使用した一般的なシナリオ（4-1 ページ）を参照してください。

Cisco Secure ACS には次の機能があります。

• VPN および無線ユーザのアクセスポリシーの適用

• デバイス管理の簡略化

• 高度な監視ツール、レポートツール、およびトラブルシューティングツールの提供

ACS 5.7 と比較して、ACS 5.8 にはいくつかの変更点および拡張機能があります。新機能および変更機能の一覧については、『Release Notes for Cisco Secure Access Control System 5.8』を参照してください。

関連項目


• ACS 管理インターフェイス（1-4 ページ）

ACS の分散展開ACS 5.8 は、標準の Cisco Linux ベースアプライアンスにあらかじめ搭載された状態で提供され、完全な分散展開をサポートします。

ACS の展開は、単一のインスタンスで構成されることも、複数のインスタンスで構成されることもあります。後者の場合、インスタンスは分散環境に展開され、システム内のすべてのインスタンスが集中管理されます。この場合、1 つの ACS インスタンスがプライマリインスタンスとなり、その他の ACS インスタンスはセカンダリインスタンスとしてプライマリインスタンスに登録できます。すべてのインスタンスが展開全体に対する設定を持つため、設定データには冗長性が発生します。

プライマリインスタンスによって、展開されたインスタンスの設定が集中化されます。プライマリインスタンスで行った設定変更は、セカンダリインスタンスに自動的に複製されます。

セカンダリインスタンスへの完全複製を強制実行できます。完全複製は、新しいセカンダリインスタンスの登録時、およびセカンダリインスタンスとプライマリインスタンスの間の複製のギャップが大きい場合に使用されます。

関連項目

• ACS 4.x と 5.8 の複製（1-3 ページ）

1-2Cisco Secure Access Control System 5.8 ユーザガイド

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/release/notes/acs_58_rn.html

第 1 章 ACS 5.8 の導入 ACS のライセンスモデル

ACS 4.x と 5.8 の複製ACS 4.x では、プライマリインスタンスからセカンダリインスタンスに複製するデータベースオブジェクトタイプ（またはクラス）を選択する必要があります。オブジェクトを複製すると、設定の完全なコピーがセカンダリインスタンスに作成されます。

ACS 5.8 では、プライマリインスタンスに加えられたすべての設定変更が、セカンダリインスタンスに即時に複製されます。前回の複製後に行われた設定変更だけがセカンダリインスタンスに伝播されます。

ACS 4.x では差分複製機能がなく、完全複製機能だけが備えられていたため、複製のためのサービスダウンタイムが発生しました。ACS 5.8 では、サービスダウンタイムのない差分複製機能が備えられています。

また、設定変更が複製されなかった場合は、セカンダリインスタンスへの完全複製を強制実行することもできます。完全複製は、新しいセカンダリインスタンスを登録するとき、およびセカンダリインスタンスとプライマリインスタンスの間の複製のギャップが大きい場合に使用されます。

表 1-1に、ACS 4.x と 5.8 の複製の違いをいくつか示します。

分散展開の設定の詳細については、第 17 章「システムの動作の設定」を参照してください。

（注）仮想ローカルエリアネットワークで Cisco Overlay Transport Virtualization テクノロジーを使用している場合、複製は ACS サーバで動作しません。

（注） Network Address Translation（NAT）は、ACS 分散展開環境ではサポートされていません。つまり、プライマリまたはセカンダリインスタンスのネットワークアドレスを変換すると、データベースの複製が正しく機能しないことがあり、共有秘密の不一致エラーが表示される場合があります。

ACS のライセンスモデルACS を操作するには、有効なライセンスが必要です。Web インターフェイスに初めてアクセスするときに、ACS によって有効なベースライセンスのインストールを要求するプロンプトが表示されます。分散展開では、各サーバに固有の基本ライセンスが必要です。

表 1-1 ACS 4.x と 5.8 の複製の違い

ACS 4.x ACS 5.8

複製するデータ項目を選択できる。複製するデータ項目を選択できない。デフォルトでは、すべてのデータ項目が複製されます。

マルチレベルまたはカスケード複製がサポートされている。

固定のフラット複製だけがサポートされている。カスケード複製はサポートされていません。

外部データベース設定などの一部のデータ項目は複製されない。

データベースキー、データベース証明書およびマスターキーを除く、すべてのデータ項目が複製される。サーバ証明書、証明書署名要求（CSR）、秘密キーは複製されますが、インターフェイスには表示されません。


第 1 章 ACS 5.8 の導入 ACS 管理インターフェイス

インストールできるライセンスの種類の詳細については、ライセンスの種類（18-39 ページ）を参照してください。ライセンスの詳細については、ライセンスの概要（18-39 ページ）を参照してください。

関連項目


ACS 管理インターフェイスここでは、次の内容について説明します。

• ACS Web ベースインターフェイス（1-4 ページ）

• ACS コマンドラインインターフェイス（1-5 ページ）

• ACS プログラムインターフェイス（1-5 ページ）

ACS Web ベースインターフェイスACS Web ベースインターフェイスを使用して、ACS の展開を完全に設定し、監視とレポートの操作を実行できます。Web インターフェイスでは、設定する領域に関わりなく、一貫性のあるユーザエクスペリエンスが提供されます。

ACS Web インターフェイスは、HTTPS 対応の Microsoft Internet Explorer と、Mozilla Firefox ブラウザでサポートされています。サポートするブラウザのバージョンについては、については、『Release Notes for Cisco Secure Access Control System 5.8』を参照してください。

新しい Web インターフェイス設計と構成には、次の機能があります。

• ユーザの視点でのポリシー管理に基づいて構成された、新しいポリシーモデルを反映します。新しいポリシーモデルは、ポリシー要素間に以前に存在していた複雑な相互関係が分離されているため、使いやすさが向上しました。

ポリシー要素とは、たとえば、ユーザグループ、ネットワークデバイスグループ（NDG）、ネットワークアクセスフィルタ、ネットワークアクセスプロファイルなどです。

• 多くの一般的なシナリオに適用できる論理的な順序で、設定タスクを提示する。

たとえば、最初に [Policy Elements] ドロワでポリシーの条件と認可を設定したあと、[Policies] ドロワに移動し、定義済みポリシー要素を使用してポリシーを設定します。

• 項目のリストのソートやフィルタリングなどの新しいページ機能を提供する。

詳細については、「Web インターフェイスの使用方法（5-4 ページ）」を参照してください。

（注） ACS は、ブラウザで使用可能な転送、戻る、更新のオプションをサポートしません。ACS Web インターフェイスは、この 3 つのオプションをクリックしてもデータを返しません。ACS での作業を開始するには、ログアウトしてから、再度ログインする必要があります。

（注） ACS ウェブインターフェイスは、手動で Web インターフェイスに入力できないいくつかの特殊文字をサポートしません。したがって、ACS Web インターフェイスでサポートされない特殊文字を、特定のフィールドにコピーアンドペーストすることは推奨されません。


http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/release/notes/acs_58_rn.html

第 1 章 ACS 5.8 の導入 ACS 管理インターフェイス

関連項目

• ACS コマンドラインインターフェイス（1-5 ページ）

ACS コマンドラインインターフェイステキストベースのインターフェイスである ACS コマンドラインインターフェイス（CLI）を使用して、一部の設定および操作タスクと監視を実行できます。ACS 固有の CLI にアクセスするには、ACS 5.8 による管理者認証が必要です。

ACS 以外のコンフィギュレーションモードを使用するには、ACS 管理者である必要はなく、また、ACS 5.8 にログインする必要もありません。ACS コンフィギュレーションモードのコマンドセッションは、診断ログに記録されます。

ADE-OS ソフトウェアでは、次のコマンドモードがサポートされています。

• EXEC：システムレベルの操作タスクを実行する EXEC モードコマンドを使用します。操作タスクとは、たとえば、アプリケーションのインストール、起動、停止、ファイルのコピーとインストール、バックアップの復元、情報の表示などです。

また、特定の EXEC モードコマンドには、ACS 固有の機能があります。たとえば、ACS インスタンス（acs start）の開始、ACS ログの表示とエクスポート、工場出荷時のデフォルト設定への ACS 設定のリセット（application reset-config acs）などです。このようなコマンドについては、マニュアルに詳しく記載されています。

• ACS 設定：これらのコマンドを使用して、ACS の管理およびランタイムコンポーネントのデバッグログレベルを設定（イネーブルまたはディセーブル）します。また、システム設定を表示します。

• 設定：これらのコマンドを使用して、ADE-OS 環境のアプライアンスサーバに対して追加の設定タスクを実行します。

（注） CLI には、設定のリセットオプションがあります。このオプションが発行されると、すべての ACS 設定情報がリセットされますが、ネットワーク設定などのアプライアンス設定は保持されます。

CLI の使用については、『Command Line Interface Reference Guide for Cisco Secure Access Control System 5.8』を参照してください。

関連項目

• ACS Web ベースインターフェイス（1-4 ページ）

ACS プログラムインターフェイスACS 5.8 は、ソフトウェア開発者とシステムインテグレータが一部の ACS 機能にプログラムを通じてアクセスできる Web サービスおよびコマンドラインインターフェイス（CLI）コマンドを備えています。ACS 5.8 では、Monitoring and Report Viewer データベースおよび Web サービスにもアクセスでき、カスタムアプリケーションを作成して、ACS 内のイベントを監視し、トラブルシューティングできます。

UCP Web サービスでは、ACS 内部データベースに定義されているユーザが、最初に認証を受けてから自身のパスワードを変更できます。ACS では、企業に展開できるカスタム Web ベースアプリケーションを作成できるように UCP Web サービスを公開しています。


第 1 章 ACS 5.8 の導入 ACS でサポートされているハードウェアモデル

ACS によって提供されている CLI コマンドを使用して、ACS オブジェクトに対する作成、読み取り、更新、および削除（CRUD）操作を実行するシェルスクリプトを開発できます。また、自動化されたシェルスクリプトを作成して、一括操作を実行することもできます。

Rest PI（Representational State Transfer プログラミングインターフェイス）では、ユーザ、ホスト、ID グループ、ネットワークデバイス、ネットワークデバイスグループ、ネットワークデバイスタイプ、最大ユーザおよびグループセッション設定などのエンティティを自分自身の管理アプリケーションで管理できます。また、これらのエンティティを ACS に移動できます。このように、これらのエンティティを定義して、その後で独自のシステムや ACS で使用できます。

これらの Web サービスおよびそれらの機能にアクセスする方法の詳細については、『Software Developer's Guide for Cisco Secure Access Control System』を参照してください。

ACS でサポートされているハードウェアモデル表 1-2 に、ACS 5.8 でサポートされているハードウェアモデルの詳細を示します。

（注）デバイスの数が 100,000 を超える導入環境では、4GB 以上の RAM プラットフォームを使用することを推奨します。デバイスの数が 100,000 を超える導入環境で 4GB 以下の RAM が搭載されたマシンを使用すると ACS ランタイムがクラッシュします。

表 1-2 ACS 5.8 でサポートされているハードウェアモデル

ハードウェアアプライアンス HDD RAM Core NIC

UCS（SNS-3495） 2 x 600 GB 32 GB 8 コア 2 x 2（4-1 Gb）

UCS（SNS-3415） 600 GB 16 GB 4 コア 2 x 2（4-1 Gb）

IBM 1121 2 x 250 GB 4 GB — 4 x 10/100/1000 RJ-45

VMWare ESX i5.5 と i6.0 60 ～ 750 GB 4 ～ 64 GB — NIC x 2


http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk.htmlhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk.htmlhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk.htmlhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk.html

Cisco

C H A P T E R 2

ACS 4.x から ACS 5.8 への移行

ACS 4.x では、TACACS+ コマンドセットなどのポリシーおよび認証情報は、ユーザおよびユーザグループレコードに格納されます。ACS 5.8 では、ポリシーおよび認証情報は独立した共有コンポーネントであり、ポリシーを設定するときに、構築ブロックとして使用します。

新しいポリシーモデルの構築ブロック、つまりポリシー要素を使用してポリシーを再構築すると、新しいポリシーモデルを最大限かつ効率的に活用できます。この方法を使用すると、適切な ID グループ、ネットワークデバイスグループ（NDG）、条件、認可プロファイル、およびルールを作成することが必要となります。

ACS 5.8 には、ACS 4.x の移行サポートバージョンから ACS 5.8 マシンにデータを転送する、移行ユーティリティが備えられています。ACS 5.8 移行プロセスでは、ACS 5.8 にデータをインポートする前に、手動でデータを解決する管理的介入が必要となる場合があります。

このプロセスは、バージョン ACS 3.x から ACS 4.x へのアップグレードプロセスとは異なります。ACS 3.x から ACS 4.x へのアップグレードプロセスでは、ACS 4.x システムが ACS 3.x と同じ方法で動作するため、管理的介入は不要です。

ACS 5.8 の移行ユーティリティでは、配置されているすべての ACS 4.x サーバを ACS 5.8 に移行する複数インスタンスの移行がサポートされています。複数インスタンスの移行の詳細については、『Migration Guide for Cisco Secure Access Control System 5.8』を参照してください。

アップグレードは、ACS 5.5 サーバまたは 5.7 サーバから ACS 5.8 へのデータ転送プロセスです。アップグレードプロセスについては、『Installation and Upgrade Guide for Cisco Secure AccessControl System 5.8』を参照してください。

この章の内容は、次のとおりです。

• 移行プロセスの概要（2-1 ページ）

• はじめる前に（2-3 ページ）

• 移行ファイルのダウンロード（2-3 ページ）

• ACS 4.x から ACS 5.8 への移行（2-3 ページ）

• ACS 4.x から ACS 5.8 への機能マッピング（2-5 ページ）

• 移行の一般的なシナリオ（2-7 ページ）

移行プロセスの概要移行ユーティリティは、次の 2 つのフェーズでデータ移行プロセスを完了します。

• 分析およびエクスポート

• インポート

2-1 Secure Access Control System 5.8 ユーザガイド

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/migration/guide/migration_guide.htmlhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/installation/guide/csacs_book/csacs_upg.htmllhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/installation/guide/csacs_book/csacs_upg.htmllhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/migration/guide/migration_guide.html

第 2 章 ACS 4.x から ACS 5.8 への移行移行プロセスの概要

分析およびエクスポートフェーズでは、5.8 にエクスポートするオブジェクトを指定します。移行ユーティリティではこれらのオブジェクトを分析し、データを集約してエクスポートします。

分析およびエクスポートフェーズが完了すると、移行ユーティリティによって、すべてのデータ互換性エラーを示すレポートが生成されます。これらのオブジェクトを正常に 5.8 にインポートするには、これらのエラーを手動で解決します。

分析およびエクスポートフェーズは反復的なプロセスであり、インポートされるデータに確実にエラーがなくなるまで複数回繰り返すことができます。分析およびエクスポートフェーズが完了すると、インポートフェーズを実行してデータを ACS 5.8 にインポートできるようになります。

ここでは、次の内容について説明します。

• 移行の要件（2-2 ページ）

• 移行サポートバージョン（2-2 ページ）

移行の要件

移行ユーティリティを実行するには、次のマシンを配置する必要があります。

• 移行元の ACS 4.x マシン：このマシンには、ACS 4.x Solution Engine または ACS for Windows 4.x マシンのいずれかを使用できます。移行元のマシンでは、移行サポートバージョンの ACS が稼働している必要があります。詳細については、「移行サポートバージョン（2-2 ページ）」を参照してください。

• 移行マシン：このマシンは、移行元のマシンと同じバージョンの ACS（パッチを含む）が稼働している Windows プラットフォームである必要があります。ACS 運用マシンまたは ACS アプライアンスマシンは、移行マシンとして使用できません。ACS for Windows が稼働している Windows サーバである必要があります。移行マシンには 2 GB RAM が必要です。

• 移行先の ACS 5.8 マシン：インポートプロセスを開始する前に、ACS 5.8 設定データをバックアップし、ACS 5.8 で移行インターフェイスがイネーブルになっていることを確認します。新しい ACS 5.8 データベースにデータをインポートすることを推奨します。移行インターフェイスをイネーブルにするには、ACS CLI から次のように入力します。

acs config-web-interface migration enable

移行サポートバージョンACS 5.8 では、次の ACS 4.x バージョンからの移行がサポートされています。

• ACS 4.1.1.24

• ACS 4.1.4

• ACS 4.2.0.124

• ACS 4.2.1

（注）ここに記載されている移行サポートバージョンに対して、最新のパッチをインストールしておく必要があります。また、他のバージョンの ACS 4.x がインストールされている場合は、ACS 5.8 に移行する前に、サポート対象バージョンのいずれかにアップグレードして、そのバージョンの最新パッチをインストールする必要があります。


第 2 章 ACS 4.x から ACS 5.8 への移行はじめる前に

はじめる前にACS 4.x から ACS 5.8 にデータを移行する前に、次のことを確認します。

• ACS 4.x 移行元マシンにデータベース破損の問題がないこと。

• 移行元マシンと移行マシンに、同じ ACS バージョン（パッチを含む）がインストールされていること。

• 移行マシンに単一の IP アドレスが設定されていること。

• 移行元の ACS 4.x データをバックアップします。

• 移行マシンと ACS 5.8 サーバの間に完全なネットワーク接続があること。

• ACS 5.8 サーバで移行インターフェイスがイネーブルになっていること。

• ACS 5.8 の移行ユーティリティを実行するには、スーパー管理者ロールの ACS 管理者アカウントを使用します。

ACS のこのリリースでは、Super Admin ロールを持つ管理者が移行ユーティリティを実行できます。以前のリリースでは、acsadmin アカウントのみで移行ユーティリティを実行できます。この制限は、Cisco Secure ACS、リリース 5.8 で削除されました。

リモートデスクトップを使用して、移行マシンに接続し、移行ユーティリティを実行することはできません。移行ユーティリティは移行マシンで実行するか、VNC を使用して移行マシンに接続する必要があります。

（注） ACS 5.8 移行ユーティリティは、Windows 2008 64 ビットではサポートされません。

移行ファイルのダウンロードACS 5.8 の移行アプリケーションファイルおよび移行ガイドをダウンロードするには、次の手順を実行します。

ステップ 1 [System Administration] > [Downloads] > [Migration Utility] を選択します。

[Migration from 4.x] ページが表示されます。

ステップ 2 [Migration application files] をクリックして、移行ユーティリティを実行する場合に使用するアプリケーションファイルをダウンロードします。

ステップ 3 [Migration Guide] をクリックして、『Migration Guide for Cisco Secure Access Control System 5.8』をダウンロードします。

ACS 4.x から ACS 5.8 への移行ACS 4.x の任意の移行サポートバージョンから ACS 5.8 にデータを移行できます。移行ユーティリティによって、次の ACS 4.x データエンティティが移行されます。

• ネットワークデバイスグループ（NDG）

• AAA クライアントおよびネットワークデバイス


第 2 章 ACS 4.x から ACS 5.8 への移行 ACS 4.x から ACS 5.8 への移行

• 内部ユーザ

• （Interface Configuration セクションの）ユーザ定義フィールド

• ユーザグループ

• 共有シェルコマンド認可セット

• （ユーザ属性に移行される）ユーザ TACACS+ Shell Exec 属性

• （シェルプロファイルに移行される）グループ TACACS+ Shell Exec 属性

• ユーザ TACACS+ コマンド認可セット

• グループ TACACS+ コマンド認可セット

• 共有ダウンロード可能 ACL

• EAP-FAST マスターキー

• 共有 RADIUS Authorization Component（RAC; RADIUS 認可コンポーネント）

• RADIUS VSA

（注）移行ユーティリティでは、Public Key Infrastructure（PKI; 公開キーインフラストラクチャ）設定データは移行されず、証明書の移行もサポートされていません。

ACS 4.x から ACS 5.8 にデータを移行するには、次の手順を実行します。

ステップ 1 ACS 4.x サーバで、現在、移行サポートバージョンのいずれも稼働していない場合は、ACS 4.x バージョンを移行サポートバージョンにアップグレードします。

ACS の移行サポートバージョンのリストについては、移行サポートバージョン（2-2 ページ）を参照してください。

ステップ 2 移行マシン（Windows サーバ）に同じ移行サポートバージョンの ACS をインストールします。

ステップ 3 ACS 4.x データをバックアップして、移行マシンで復元します。

ステップ 4 移行マシンに移行ユーティリティを保存します。

移行ユーティリティは、Installation and Recovery DVD から取得できます。

ステップ 5 移行マシンで、移行ユーティリティの分析およびエクスポートフェーズを実行します。

ステップ 6 分析およびエクスポートフェーズで発生した問題を解決します。

ステップ 7 移行マシンで、移行ユーティリティのインポートフェーズを実行します。

インポートフェーズでは、データを 5.8 サーバにインポートします。

（注）大規模な内部データベースがある場合、スタンドアロンの 5.x プライマリサーバにデータをインポートし、複数のセカンダリサーバに接続しているサーバにはデータをインポートしないことを推奨します。データの移行が完了すると、セカンダリサーバをスタンドアロンの 5.x プライマリサーバに登録できるようになります。

移行ユーティリティの使用方法の詳細については、『Migration Guide for Cisco Secure Access Control System 5.8』を参照してください。

データを移行したあと、移行されたオブジェクトを使用してポリシーを再構築できます。


http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/migration/guide/migration_guide.htmlhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/migration/guide/migration_guide.htmlhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/migration/guide/migration_guide.htmlhttp://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/migration/guide/migration_guide.html

第 2 章 ACS 4.x から ACS 5.8 への移行 ACS 4.x から ACS 5.8 への機能マッピング

ACS 4.x から ACS 5.8 への機能マッピングACS 5.8 では、認可、シェルプロファイル、属性、およびその他のポリシー要素を、ユーザまたはグループ定義の一部としてではなく、独立した再利用可能なオブジェクトとして定義します。

表 2-1 に、ACS 5.8 での ID、ネットワークリソース、およびポリシー要素の設定場所を示します。この表を使用して、移行したデータ ID を表示または変更します。ACS 5.8 ポリシーモデルの概要については、ACS 5.x ポリシーモデル（3-1 ページ）を参照してください。

表 2-1 ACS 4.x から ACS 5.8 への機能マッピング

設定内容 ACS 4.x での選択 ACS 5.8 での選択 5.8 の追加情報

ネットワークデバイスグループ

[Network Configuration] ページ

[Network Resources] > [Network Device Groups]

ネットワークデバイスグループの作成、複製、および編集（7-2 ページ）を参照してください。

NDG はポリシールール内の条件として使用できます。

ACS 5.8 では NDG 共有パスワードがサポートされていません。移行後は、メンバーデバイスに NDG 共有パスワード情報が格納されます。

ネットワークデバイスおよび AAA クライアント

[Network Configuration] ページ

[Network Resources] > [Network Devices and AAA Clients]

ネットワークデバイスおよび AAA クライアント（7-5 ページ）を参照してください。

RADIUS キーラップのキー（KEK および MACK）は、

ACS 4.x から ACS 5.8 に移行されます。

ユーザグループ [Group Setup] ページ [Users and Identity Stores] > [Identity Groups]

ID 属性の管理（8-8 ページ）を参照してください。

ID グループはポリシールール内の条件として使用できます。

内部ユーザ [User Setup] ページ [Users and Identity Stores] > [Internal Identity Stores] > [Users]

内部 ID ストアの管理（8-5 ページ）を参照してください。

ACS 5.8 は、内部 ID ストアに対してだけ内部ユーザを認証します。

認証に外部データベースを使用していた移行済みユーザには、最初のアクセス時に変更が必要なデフォルトの認証パスワードが割り当てられます。

内部ホスト [Network Access Profiles] > [Authentication]

[Users and Identity Stores] > [Internal Identity Stores] > [Hosts]

ID ストアでのホストの作成（8-24 ページ）を参照してください。

内部ホストは、[Host Lookup] の ID ポリシーで使用できます。

ID 属性（ユーザ定義フィールド）

[Interface Configuration] > [User Data Configuration]

[System Administration] > [Configuration] > [Dictionaries] > [Identity] > [Internal Users]

ディクショナリの管理（18-7 ページ）を参照してください。

定義済みの ID 属性フィールドが [User Properties] ページに表示されます。これらをアクセスサービスポリシーの条件として使用できます。


第 2 章 ACS 4.x から ACS 5.8 への移行 ACS 4.x から ACS 5.8 への機能マッピング

コマンドセット（コマンド認可セット）

次のいずれかが必要です。

• [Shared Profile Components] > [Command Authorization Set]

• [User Setup] ページ

• [Group Setup] ページ

[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Command Set]

管理デバイス用のコマンドセットの作成、複製、および編集（9-30 ページ）を参照してください。

デバイス管理アクセスサービスの認可ポリシールールの結果として、コマンドセットを追加できます。

Shell exec パラメータ [User Setup] ページ [System Administration] > [Dictionaries] > [Identity] > [Internal Users]

ディクショナリの管理（18-7 ページ）を参照してください。

定義済みの ID 属性フィールドが [User Properties] ページに表示されます。

これらをアクセスサービスポリシーの条件として使用できます。

シェルプロファイル（shell exec パラメータまたはシェルコマンド認可セット）

[Group Setup] ページ [Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Shell Profile]

デバイス管理用のシェルプロファイルの作成、複製、および編集（9-25 ページ）を参照してください。

デバイス管理アクセスサービスの認可ポリシールールの結果として、シェルプロファイルを追加できます。

日時条件（時間帯アクセス）

日時条件は移行できません。ACS 5.8 で再作成する必要があります。

[Group Setup] ページ [Policy Elements] > [Session Conditions] > [Date and Time]

日付と時刻の条件の作成、複製、および編集（9-3 ページ）を参照してください。

日時条件は、サービスセレクションポリシーのポリシールールまたはアクセスサービスの認可ポリシーに追加できます。

表 2-1 ACS 4.x から ACS 5.8 への機能マッピング（続き）



第 2 章 ACS 4.x から ACS 5.8 への移行移行の一般的なシナリオ

移行の一般的なシナリオ次に、ACS 5.8 への移行時に発生する一般的なシナリオを示します。

• CSACS 1121 の ACS 4.2 から ACS 5.8 への移行（2-8 ページ）

• ACS 3.x から ACS 5.8 への移行（2-8 ページ）

• 他の AAA サーバから ACS 5.8 へのデータの移行（2-9 ページ）

RADIUS 属性次のいずれかが必要です。

• [Shared Profile Components] > [RADIUS Authorization Component]

• [User Setup] ページ

• [Group Setup] ページ

ユーザおよびグループ設定の RADIUS 属性は移行できません。ACS 5.8 で再作成する必要があります。

[Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profile] > [Common Tasks] タブ

または

[Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profile] > [RADIUS Attributes] タブ

ネットワークアクセス用の認可プロファイルの作成、複製、および編集（9-19 ページ）を参照してください。

RADIUS 属性は、ネットワークアクセス認可プロファイルの一部として設定できます。

ネットワークアクセスサービスの認可ポリシーの結果として認可プロファイルを追加できます。

ダウンロード可能 ACL 共有プロファイルコンポーネント

[Policy Elements] > [Authorization and Permissions] > [Named Permission Objects] > [Downloadable ACLs]

ダウンロード可能な ACL の作成、複製、および編集

（9-32 ページ）を参照してください。

ネットワークアクセス認可プロファイルに Downloadable ACL（DACL; ダウンロード可能 ACL）を追加できます。

認可プロファイルを作成したあと、ネットワークアクセスサービスの認可ポリシーの結果としてこれを追加できます。

RADIUS VSA インターフェイスコンフィギュレーション

[System Administration] > [Configuration] > [Dictionaries] > [Protocols] > [RADIUS] > [RADIUS VSA]

RADIUS ベンダー固有属性の作成、複製、および編集

（18-8 ページ）を参照してください。

RADIUS VSA 属性は、ネットワークアクセス認可プロファイルの一部として設定します。

ネットワークアクセスサービスの認可ポリシーの結果として認可プロファイルを追加できます。

表 2-1 ACS 4.x から ACS 5.8 への機能マッピング（続き）




CSACS 1121 の ACS 4.2 から ACS 5.8 への移行展開において、CSACS 1121 にある ACS 4.2 を ACS 5.8 に移行する場合は、次の手順を実行する必要があります。

ステップ 1 移行マシンに Cisco Secure Access Control Server 4.2 for Windows をインストールします。

ステップ 2 CSACS 1121 で ACS 4.2 データをバックアップします。

ステップ 3 移行マシンでデータを復元します。

ステップ 4 移行マシンで、移行ユーティリティの分析およびエクスポートフェーズを実行します。

ステップ 5 CSACS 1121 に ACS 5.8 をインストールします。

ステップ 6 移行マシンのデータを、ACS 5.8 がインストールされている CSACS 1121 にインポートします。

各ステップの詳細については、『Migration Guide for Cisco Secure Access Control System 5.8』を参照してください。

ACS 3.x から ACS 5.8 への移行使用環境に ACS 3.x を配置している場合、ACS 5.8 への直接移行はできません。次の手順を実行する必要があります。

ステップ 1 ACS 4.x の移行サポートバージョンにアップグレードします。移行サポートバージョンのリストについては、移行サポートバージョン（2-2 ページ）を参照してください。

ステップ 2 ACS 3.x のアップグレードパスを確認します。

• ACS Solution Engine については、次を参照してください。

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_solution_engine/4.1/installation/guide/solution_engine/upgap.html#wp1120037

• ACS for Windows については、次の URL を参照してください。

http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4-2/installation/guide/windows/IGwn42/install.html#wp1102849

ステップ 3 ACS 3.x サーバを ACS 4.x の移行サポートバージョンにアップグレードします。

アップグレード後、ACS 4.x から ACS 5.8 への移行方法を示した手順を実行します。詳細については、『Migration Guide for Cisco Secure Access Control System 5.8』を参照してください。


http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/migration/guide/migration_guide.htmlhttp://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_solution_engine/4.1/installation/guide/solution_engine/upgap.html#wp1120037http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4-2/installation/guide/windows/IGwn42/install.html#wp1102849


他の AAA サーバから ACS 5.8 へのデータの移行ACS 5.8 では、ACS Web インターフェイスおよび CLI を使用して、さまざまな ACS オブジェクトの一括インポートを実行できます。インポートできる ACS オブジェクトは次のとおりです。

• ユーザ

• ホスト

• ネットワークデバイス

• ID グループ

• NDG

• ダウンロード可能 ACL

• コマンドセット

ACS では、カンマ区切り形式（.csv）ファイルを使用して、データの一括インポートを実行できます。データは、ACS が要求する形式で .csv ファイルに入力する必要があります。ACS には、ACS 5.8 にインポート可能なそれぞれのオブジェクト用に .csv テンプレートが用意されています。このテンプレートは Web インターフェイスからダウンロードできます。

他の AAA サーバから ACS 5.8 にデータを移行するには、次の手順を実行します。

ステップ 1 .csv ファイルにデータを入力します。

.csv テンプレートの詳細については、『Software Developer’s Guide for Cisco Secure Access Control System 5.8』を参照してください。

ステップ 2 ACS 5.8 アプライアンスを設定します。

ステップ 3 ACS 5.8 に対してデータの一括インポートを実行します。

ACS オブジェクトの一括インポートの実行の詳細については、『Software Developer’s Guide for Cisco Secure Access Control System 5.8』を参照してください。

これで、他の AAA サーバのデータを ACS 5.8 で使用できます。


http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk/cli_imp_exp.html#wp1064565http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk/cli_imp_exp.html#wp1056244http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk/cli_imp_exp.html#wp1064565http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk/cli_imp_exp.html#wp1064565http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk/cli_imp_exp.html#wp1064565http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk/cli_imp_exp.html#wp1056244http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk/cli_imp_exp.html#wp1056244http://www.cisco.com/c/en/us/td/docs/net_mgmt/cisco_secure_access_control_system/5-8/sdk/acs_sdk/cli_imp_exp.html#wp1056244

Cisco

C H A P T E R 3

ACS 5.x ポリシーモデル

ACS 5.x は、ポリシーベースのアクセスコントロールシステムです。ACS 5.x でのポリ�

cisco secure access control system ユーザ ガイド 5目次 4 cisco secure access control system...

Documents

cisco secure access control system ユーザガイド 5目次 4 cisco secure access control system...